Sistema Efectivo de Análisis de Riesgo (SEAR)
Sistema Efectivo de Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE Taller a Personal Clave Lima, 20 de octubre 2015 Importancia de la Gestión de Riesgo en la Empresa Sistema Efectivo de Análisis de Riesgo (SEAR) El rol del personal en el SEAR I. Planificación de la Gestión de Riesgos 1.1 Mapeo de Procesos 1.2 Definición de Objetivos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo 1.4 Priorización y Selección de Procesos Críticos II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos 2.2 Identificación de Riesgos Cláusula de propiedad intelectual Este documento contiene material, ideas y conceptos que son propiedad de EY. Los materiales, ideas y conceptos aquí vertidos son para uso exclusivo del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado. El contenido de este documento no debe ser reproducido total o parcialmente por ningún medio, ni distribuido a nadie externo a FONAFE, sin el consentimiento previo y por escrito de EY. Página 2 Importancia de la Gestión de Riesgos en la Empresa ¿Qué es Gestión de Riesgos y cuál es su importancia? ¿Qué es? ¿Cuál es su objetivo? ¿Qué Comprende? Es un conjunto de actividades coordinadas a nivel de toda la Empresa para identificar potenciales eventos que le afectarían y gestionarlos de acuerdo a sus necesidades. Preservar el valor previniendo eventos internos y externos que puedan impactar negativamente el logro de los objetivos, y aprovechando aquellos que signifiquen oportunidades de desarrollo. La implementación de un enfoque y lenguaje común en toda la Empresa. Página 4 ¿Qué es Gestión de Riesgos y cuál es su importancia? La Gestión de Riesgos debe enfocarse en los temas más relevantes, buscando un óptimo equilibrio entre el impacto del riesgo asumido, el costo de la actividad de control y el valor que ésta agrega a la Empresa, asegurándose de que el costo se mantenga por debajo del valor generado. Página 5 Relación entre Gestión de Riesgos y otros marcos Permite a la dirección contar con una estrategia eficiente para procurar el cumplimiento de los objetivos de la Empresa. Gobierno Corporativo Continuidad de Negocio Impulsa el establecimiento de controles adecuados que mitiguen los efectos ante una interrupción no deseada o desastre Página 6 Brinda un enfoque en el cual deben basarse los procesos para garantizar la calidad de los productos o servicios. Gestión de Riesgos ISO 31000 Permite desarrollar una gestión de riesgos que cuente con un flujo de información constante. ISO 9001 Control Interno Brinda los lineamientos para el desarrollo de la Evaluación de Riesgos. Componentes de la Gestión de Riesgos Ambiente de control Establece la base de la gestión de riesgos de la Empresa, a través de la definición de la filosofía de gestión integral de riesgo, el apetito de riesgo, el rol del Comité de Gestión de Riesgos, y el establecimiento de una estructura de gestión integral de riesgos. Establecimiento de objetivos La gestión integral de riesgo se asegura que la gerencia cuente con un proceso para definir objetivos que estén alineados con la misión y visión, con el apetito de riesgo y niveles de tolerancia. Identificación de eventos Se identifican los eventos potenciales que afectan la puesta en práctica de la estrategia o el logro de los objetivos, pudiendo tener impactos positivos o negativos. Se reconoce la importancia de entender los factores internos y externos, y el tipo de eventos que pueden generar. Evaluación de riesgos Permite que la Empresa entienda el grado en el cual los eventos potenciales pueden afectar los objetivos del negocio. Evalúa los riesgos desde dos perspectivas: probabilidad e impacto, y en un escenario inherente y otro residual. Página 7 Componentes de la Gestión de Riesgos Respuesta al riesgo Las respuestas se establecen para alcanzar el riesgo residual alineado con los niveles de tolerancia al riesgo. Los costos de diseñar e implantar una respuesta o estrategia de tratamiento deben ser considerados, así como los costos de mantenerla. Actividades de control Políticas y procedimientos que ayudan a asegurar que las respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna. Están presentes en todos los niveles y áreas de la Empresa. Información y comunicación La información relevante, debe ser identificada, capturada, procesada y comunicada en la oportuna y adecuadamente. La Dirección y Gerencia deben comunicar al personal su responsabilidad ante la gestión de riesgos. El personal debe entender su rol al respecto. Monitoreo La gestión de riesgos es monitoreada evaluando la presencia consistente y funcionamiento de sus componentes. La eficacia de los otros componentes se sigue mediante actividades de supervisión continua y evaluaciones independientes entre sí. Página 8 Componentes de la Gestión de Riesgos Los componentes de Gestión de Riesgos buscan contribuir al cumplimiento de las siguientes categorías de objetivos… Estratégicos Operaciones Objetivos a alto nivel, alineados con la misión de la Empresa Objetivos vinculados al uso eficaz y eficiente de recursos. Incluye objetivos de rentabilidad y desempeño Reporte Cumplimiento Objetivos de fiabilidad de la información suministrada y de las actividades realizadas Objetivos relativos al cumplimiento de leyes y normas aplicables … a través del desarrollo de actividades en estos niveles de la Empresa Despliegue de aspectos estratégicos de la gestión de riesgos a nivel corporativo. Identificación de riesgos estratégicos. Nivel Entidad Nivel de Procesos Despliegue de la gestión de riesgos en cada proceso. Identificación de riesgos que afectan puntualmente a uno o más procesos. Página 9 Sistema Efectivo de Análisis de Riesgo (SEAR) ¿Qué es el SEAR? SEAR El Sistema Efectivo de Análisis de Riesgo es un enfoque estandarizado para la implementación de la Gestión de Riesgos en las Empresas de la Corporación. Proceso Metodología Brinda las directivas basadas en lineamientos teóricos líderes para el desarrollo de la gestión de riesgos. Página 11 Es un conjunto de actividades sistematizadas que tienen como fin alcanzar el objetivo de fortalecer la gestión de riesgos. Herramienta Proporciona instrumentos prácticos para facilitar el desarrollo de la Gestión de Riesgos. Gestión de Riesgos Beneficios de la implementación del SEAR Crea un ambiente adecuado para el cumplimiento de los objetivos de la Empresa. Agiliza el proceso de toma de decisión de la dirección al contar con una visión de los riesgos que afectan a la Empresa. Contribuye a reducir las pérdidas que afecten los resultados de la Empresa al establecer mecanismos de identificación de riesgos y de control. Optimiza los costos de las actividades de control a través de la evaluación oportuna de su diseño y eficacia. Mejora el valor percibido de la Empresa y facilita el acceso a capital en mercados internacionales. Página 12 El rol del personal en el SEAR Responsabilidades del personal Es importante contar con una estructura organizacional de gestión de riesgos bajo un enfoque centralizado-colaborativo, a través de una dinámica top-down. Las actividades de gestión de riesgos deben ser estructuradas y lideradas por un nivel Directivo, soportado por una función encargada de la ejecución de los lineamientos establecidos que cuente con el apoyo del resto de unidades orgánicas en su desarrollo y materialización. ► Directorio ► Comité de Riesgos Ejecutivo responsable del SEAR Nivel 2 Lidera la implementación de las actividades del SEAR de acuerdo a los principios establecidos por la Dirección. Página 14 ► Nivel 1 Define un Ambiente de Control apropiado para la Empresa, así como el enfoque y dimensión de la gestión de riesgos. Supervisa las actividades implementadas por la función de gestión de riesgos y asegura su eficiencia. ► Dueños de procesos y gestores de riesgo Nivel 3 Ejecuta la actividades del SEAR. Incluye al personal clave de cada proceso, asegurando el compromiso a lo largo de toda la Empresa. Responsabilidades del personal Nivel 1 Impulsar toma de decisiones de Gestión de Riesgos Definir cultura de Gestión de Riesgos Aprobar declaración del apetito de riesgo, Política de Gestión de Riesgos y Plan de Gestión de Riesgos Velar por alineamiento entre objetivos y actividades de la Gestión de Riesgos con Plan Estratégico Solicitar reportes trimestrales al Nivel 2 Evaluar anualmente el desarrollo del SEAR Nivel 3 Apoyar al Nivel 2 en elaboración de Política de Gestión de Riesgos Documentar y actualizar del inventario de procesos, riesgos y controles según lo definido en la Metodología de Gestión de Riesgos Brindar soporte al Nivel 2 en actividades de evaluación de riesgos Documentar mapa de riesgos, mantenerlo vigente y reportar su estado al Nivel 2 Página 15 Nivel 2 Definir el apetito de riesgo Proponer Política de Gestión de Riesgos y Plan de Gestión de Riesgos. Diseñar Metodología para la Gestión de Riesgos Monitorear criticidad de los riesgos Aprobar criterios y técnicas para evaluación de riesgos. Elaborar el plan anual de capacitación de Gestión de Riesgos. Apoyar en el proceso de evaluación del desarrollo del SEAR al Nivel 1. Nivel 2 Nivel 1 Nivel 3 Estructura y principales actividades del SEAR Mapeo de procesos Identificación de procesos críticos Definición de apetito de riesgo Definición de objetivos Identificación de eventos SEAR Identificación de riesgos Determinación de tolerancia de riesgo ! Documentación de matrices (cont.) Definición y documentación de Elaboración de planes de acción KRI’s Elaboración de Estrategias de tratamiento Elaboración de mapas de riesgos (Inherente y residual) Probabilidad Elaboración de un cronograma de seguimiento a los planes de acción 4 A A E 3 M A A E M A B M 3 4 2 B M 1 B B 1 2 Evaluación de riesgo residual E Impacto (cont.) de riesgos y controles a nivel de entidad y de procesos Reporte del avance de la implementación SEAR a FONAFE Página 16 Evaluación del riesgo residual Evaluación de efectividad y y actualizar su calificación actualización de controles Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción Seguimiento a la implementación de planes de acción de acuerdo al cronograma Evaluación de la gestión de riesgos y envío de los resultados a FONAFE para su aprobación Identificación y documentación de actividades de control existentes Evaluación de riesgo inherente I. Planificación de la Gestión de Riesgos I. Planificación de la Gestión de Riesgos La planificación es la fase inicial en el desarrollo de la gestión de riesgos de una Empresa y es fundamental para que las actividades sean implementadas de manera eficiente, oportuna y alineadas a las necesidades de la Empresa. I. Planificación de la Gestión de Riesgos 1.1 Mapeo de Procesos Entendimiento de las operaciones y, de acuerdo a ello, dimensionamiento del alcance requerido. 1.2 Definición de Objetivos Identificación de objetivos para orientar la gestión de riesgos en función a su cumplimiento. 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo Establecimiento de parámetros para gestionar los riesgos adecuadamente. Deberá elaborarse el Plan de Gestión de Riesgos, considerando: ► ► ► ► Periodicidad de las actividades a desarrollarse. Secuencia en la que se deben llevar a cabo las tareas. Responsables a las actividades (de ejecución y supervisión). Alcance de las tareas (Nivel Entidad o Proceso). Página 18 1.4 Priorización y Selección de Procesos Críticos Designación de esfuerzos de manera proporcional a la criticidad de las operaciones. I. Planificación de la Gestión de Riesgos 1.1 Mapeo de Procesos Es importante mapear los procesos existentes para lograr un mayor entendimiento del negocio y sus operaciones, identificar los riesgos, e implementar y monitorear los controles de una manera más eficiente. ► Los procesos existentes deben agruparse en estas categorías: Se registran solo los procesos que efectivamente se ejecutan al momento de realizar el mapeo. De Apoyo Estratégicos Cadena de Valor Herramientas de documentación De Negocio Página 19 • • • • • Mapa de procesos. Diagrama de Bloques del proceso. Plantilla de Subprocesos. Diagrama de Flujo. Narrativas. I. Planificación de la Gestión de Riesgos 1.2 Definición de Objetivos Los objetivos deben estar alineados a la misión y visión de la Empresa, y ser comunicados a todo el personal. La gestión de riesgos se orienta en función a los objetivos definidos a nivel entidad y por procesos. Objetivos a nivel entidad Objetivos a nivel de procesos Categorías Estratégicos De reporte Página 20 Operacionales Cumplimiento El objetivo de un proceso, es la finalidad por la cual el proceso es desarrollado dentro de la cadena de valor de la Empresa. Es decir, la razón por la cual es importante para la Empresa. I. Planificación de la Gestión de Riesgos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo El apetito de riesgo es el nivel de riesgo que la Empresa desea asumir para la consecución de sus objetivos. Riesgo Capacidad Tolerancia Apetito La tolerancia al riesgo es el umbral de riesgo que la Empresa está dispuesta a asumir considerando el nivel de apetito de riesgo como tope. Página 21 La tolerancia al riesgo debe determinarse una vez que se hayan identificado los riesgos. La capacidad de riesgo es el nivel máximo de riesgo que la Empresa puede soportar sin que interfiera en su continuidad. I. Planificación de la Gestión de Riesgos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo Ejemplo de Declaración de Apetito “La reputación de la Empresa, la de sus servicios y nuestro personal conforman nuestros principales activos, razón por la cual no toleramos riesgos que puedan impactar negativamente la imagen de la organización y a las personas que la representan. Nuestro propósito es generar valor a todos nuestros grupos de interés e innovar constantemente para que nuestros servicios cuenten con los más altos estándares de calidad y generen bienestar a nuestros clientes”. Ejemplo de riesgo identificado Que se registren pérdidas en la Empresa a causa de accidentes ocupacionales. De acuerdo a la Declaración de Apetito de la Empresa, el nivel de riesgo que se asumirá es: Pérdidas por accidentes ocupaciones hasta de S/. 20 000 ó que se presenten 5 accidentes ocupacionales por mes. La tolerancia y la capacidad de riesgo para el ejemplo son las siguientes: Tolerancia: Pérdidas desde S/. 0.000 a S/.19 999 ó de 0 a 4 accidentes ocupacionales por mes. Página 22 Capacidad: Pérdidas entre S/. 20 001 a S/. 30 000 ó 5 a 6 accidentes ocupacionales por mes. I. Planificación de la Gestión de Riesgos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo Proceso de definición del apetito de riesgo Establecer el apetito de riesgo desde la Dirección, alineándolo con los objetivos a nivel entidad. Modelo Topdown Validar con los principales stakeholders los niveles de apetito de riesgo. Comunicar el apetito de riesgo a toda la Empresa y alinear la gestión de riesgos a éste. Considerando el impacto de los siguientes aspectos en los objetivos: -Negocio de la Empresa -Aspectos jurídicos y normativos -Operación de la empresa -Tecnologías -Tecnologías de la información -Aspectos financieros -Factores sociales y humanitarios -Fraude Proceso de definición de la tolerancia y capacidad de riesgo Criterio Considerando los mismos aspectos analizados en el apetito de riesgo, se definen la tolerancia y capacidad de riesgo Página 23 Operaciones de la empresa Ejemplo Que el número de accidentes laborales se encuentre entre # a #. Que la duración promedio de interrupciones del sistema (SAIDI) se encuentre entre # a #. I. Planificación de la Gestión de Riesgos 1.4 Priorización y Selección de Procesos Críticos La priorización de procesos permite identificar los procesos críticos de la Empresa, y así poder organizar la designación de esfuerzos de la gestión de riesgos en función a la criticidad de las operaciones. Criterios de priorización que deben considerarse al seleccionar un proceso crítico: • • • • • • • Materialidad Las expectativas de la dirección y la alta gerencia Impacto en objetivos estratégicos Complejidad de las operaciones Volumen de las operaciones Nivel de automatización Importancia en la continuidad del negocio Procedimiento • • • • Página 24 Establecer rangos por cada criterio para identificar si el proceso cumple con el criterio Asignar un puntaje por criterio. Se sumarán los puntajes obtenidos. Se considerará un procesos crítico si la suma es mayor a siete (7). I. Planificación de la Gestión de Riesgos 1.4 Priorización y Selección de Procesos Críticos Criterios Materialidad Expectativas de la Dirección y la Alta Gerencia Volumen de Operaciones Página 25 Impacto en Objetivos Estratégicos Nivel de Automatización Complejidad de las Operaciones Importancia en la Continuidad del Negocio II. Identificación y Clasificación de riesgos II. Identificación y Clasificación de Riesgos La identificación y clasificación de riesgos es fundamental para hacer frente a los eventos que afecten el cumplimiento de los objetivos de la entidad y los procesos. II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos 2.2 Identificación de Riesgos ! Identificación de eventos positivos que deben ser aprovechados y de eventos negativos que deben prevenirse para no convertirse en riesgos. Página 27 Identificación de los riesgos que afectan a los procesos y a la Empresa para, de acuerdo al apetito de riesgo, orientar la gestión de los mismos. II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos ¿Qué es un evento? Es una situación o elemento potencial de origen externo o interno que afecte a la entidad, el cual puede tener consecuencias positivas o negativas. ¿Cómo identificarlos? ¿En qué destaca la Empresa? ¿Qué se puede mejorar? ¿Tiene algo que la diferencie? ¿La Empresa tiene menos ventajas que otras similares? ¿Qué oportunidades tiene la Empresa a su alcance? ¿Qué podría desviar a la Empresa? ¿De qué tendencias se puede beneficiar? Página 28 ¿Qué hace la competencia? II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos ¿Por qué identificarlos? Los eventos negativos son el punto de partida para poder identificar los riesgos que afronta la Empresa. Es importante mapearlos pues permite desarrollar una cultura de prevención en la gestión de riesgos. Los eventos positivos son relevantes para tener conocimiento de aquellas oportunidades que deben ser aprovechadas por la Empresa pues contribuyen al cumplimiento de objetivos. Página 29 II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos ¿Qué es un riesgo? Es la amenaza que enfrenta una Empresa cuando un evento o acción puede afectar adversamente su habilidad de alcanzar sus objetivos y maximizar valor. ► Riesgo a nivel entidad: Que no se comunique oportunamente la información que debe transmitirse a los accionistas debido a que no se ha definido de manera clara y formal al responsable de organizar dicha información y comunicarla. ► Riesgo a nivel de proceso: Que se produzcan errores en los pagos a proveedores o dobles procesamientos debido a la recepción de información duplicada. Página 30 ! II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos ¿Cómo documentarlo? Considerar su composición: 1. Consecuencia: Es el impacto que tendrá un riesgo al momento de materializarse. 2. Causa : Es el motivo por el cual se presenta el riesgo. Tener en consideración Se identifican los riesgos que afectan a los procesos y a la entidad (Riesgos Estratégicos). Es importante tener especial consideración con los riesgos múltiples (riesgos que impactan a más de un proceso en la Empresa). Página 31 ! II. Identificación y Clasificación de Riesgos ! 2.2 Identificación de Riesgos Naturaleza y clasificación de riesgos La definición de la naturaleza y clasificación de los riesgos según su causa es necesaria para la organización de la gestión de los riesgos identificados. Naturaleza del riesgo Se refiere a las características propias del sector en el que se encuentra la Empresa que puede ocasionar determinadas clases de riesgos. Clasificación de riesgos Externo Origen Interno Para este caso, podrían considerarse, por ejemplo, estos aspectos: • • • • • • • Regulaciones Infraestructura Operaciones Tipo de servicio Medio ambiente Relaciones con la comunidad Seguridad ocupacional Entidad Nivel Proceso Rutinarios Frecuencia No rutinarios Página 32 II. Identificación y Clasificación de Riesgos ! 2.2 Identificación de Riesgos Tipos de riesgo Para organizar los riesgos y definir adecuadamente las estrategias de respuesta a cada uno de ellos, es importante que se los categorice por tipos de riesgo. Son los riesgos que tienen impacto directo a nivel de entidad debido a que afectan el cumplimiento de los objetivos estratégicos de la Empresa. Son los riesgos asociados a los procesos de reporte, sean internos o externos, así como al de sus entregables. Página 33 Estratégicos De Reporte Operacionales De Tecnologías de la información Son los riesgos vinculados a la parte operativa. Incluye los riesgos originados por deficiencias en los procesos o en la estructura organizacional. Son los riesgos que tienen impacto tanto en la gestión de las tecnologías de la información como en la seguridad de la información. II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos ! Tipos de riesgo Son los riesgos que impactan en la capacidad para cumplir con los requisitos normativos internos y externos. Página 34 De Cumplimiento De Fraude Son los riesgo asociados a las conductas que incumplen las obligaciones legales con la finalidad de obtener un beneficio. II. Identificación y Clasificación de Riesgos ! 2.2 Identificación de Riesgos Técnicas para la identificación de riesgos Tormenta de ideas Entrevistas Técnica Delphi Análisis FODA Los riesgos identificados deberán documentarse en una Matriz de Riesgos y Controles a nivel entidad y por proceso Página 35 Cuestionario / Encuestas Diagrama de Ishikawa Sistema Efectivo de Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE Taller a Personal Clave Lima, 20 de octubre 2015 Anexos Página 37 Anexos Mapa de Procesos Documento Mapa de Procesos Nombre Proceso Fecha Dueños de Proceso A. DIAGRAMA DE BLOQUES B. OBJETIVO / DESCRIPCIÓN – ANTECEDENTES C. ÁREAS QUE INTERVIENEN Subproceso D. APLICATIVOS Página 38 Gerencia/ Subgerencia Departamento / Sección Responsable (nombre y cargo) Participantes de Talleres (nombre y cargo) Anexos Diagrama de Bloques del proceso Proceso : Fecha : Inicio Subproceso 1 Fin Subproceso 2 Subproceso 3 Subproceso 4 Subproceso 5 Subproceso 6 Inicio: Inicio: Inicio: Inicio: Inicio: Inicio: Fin: Fin: Fin: Fin: Fin: Fin: Página 39 Anexos Plantilla de Subprocesos Proceso: Fecha: Sub procesos: Objetivo del subproceso: Responsables del subproceso: Áreas y cargos clave del subproceso: Página 40 Comienzo del subproceso: Final del subproceso: Entradas: Salidas: Sistemas clave: Productos relacionados: Riesgos del proceso: Controles relacionados a los riesgos: Actividades clave: Otra información relevante: Anexos Diagrama de Flujo Página 41 Anexos Narrativas Proceso Subproceso Sitio Owner del proceso Personal involucrado en los controles Autor Fecha última revisión Objetivo Inputs (subproceso) Outputs (subproceso) Aplicaciones informáticas asociadas Indicadores claves de rendimiento Cuentas financieras asociadas Subproceso: # Actividad Responsable Descripción de la actividad Observaciones <Comentar respecto a cambios significativos en el proceso o en los sistemas que soportan el proceso> Página 42 Referencia del control
© Copyright 2024